組織でフェデレーション サーバー プロキシを作成すると、Active Directory フェデレーション サービス (AD FS) の展開にセキュリティレイヤーが追加されます。 次の場合は、組織の境界ネットワークにフェデレーション サーバー プロキシを展開することを検討してください。
外部クライアント コンピューターがフェデレーション サーバーに直接アクセスできないようにします。 フェデレーション サーバー プロキシを境界ネットワークに展開することで、フェデレーション サーバープロキシを効果的に分離して、外部クライアント コンピューターの代わりに動作するフェデレーション サーバー プロキシを介して企業ネットワークにログインしているクライアント コンピューターのみがアクセスできるようにします。 フェデレーション サーバー プロキシは、トークンの生成に使用される秘密キーにアクセスできません。 詳細については、「フェデレーション サーバー プロキシを配置する場所」を参照してください。
Windows 統合認証を使用して企業ネットワークから来ているユーザーではなく、インターネットから来ているユーザーのサインイン エクスペリエンスを区別する便利な方法を提供します。 フェデレーション サーバー プロキシは、フェデレーション サーバー プロキシに格納されているログオン、ログアウト、ID プロバイダー検出 (homerealmdiscovery.aspx) ページを使用して、インターネット クライアント コンピューターから資格情報またはホーム領域の詳細を収集します。
一方、企業ネットワークから取得されたクライアント コンピューターでは、フェデレーション サーバーの構成に基づいて異なるエクスペリエンスが発生します。 企業ネットワーク フェデレーション サーバーは、多くの場合、Windows 統合認証用に構成され、企業ネットワーク上のユーザーにシームレスなサインイン エクスペリエンスを提供します。
フェデレーション サーバー プロキシが組織内で果たす役割は、フェデレーション サーバー プロキシをアカウント パートナー組織に配置するか、リソース パートナー組織に配置するかによって異なります。 たとえば、フェデレーション サーバー プロキシがアカウント パートナーの境界ネットワークに配置されている場合、その役割はブラウザー クライアントからユーザー資格情報を収集することです。 フェデレーション サーバー プロキシは、リソース パートナーの境界ネットワークに配置されると、セキュリティ トークン要求をリソース フェデレーション サーバーに中継し、アカウント パートナーによって提供されるセキュリティ トークンに応答して組織のセキュリティ トークンを生成します。
詳細については、「アカウント パートナーのフェデレーション サーバー プロキシの役割を確認する」および「リソース パートナーのフェデレーション サーバー プロキシの役割を確認する」を参照してください。
フェデレーション サーバー プロキシを作成する方法
AD FS フェデレーション サーバー プロキシ構成ウィザードまたは Fsconfig.exe コマンド ライン ツールを使用して、フェデレーション サーバー プロキシを作成できます。 これを行う方法については、「 フェデレーション サーバー プロキシの役割のコンピューターの構成」を参照してください。
フェデレーション サーバー プロキシを展開するために必要なすべての前提条件を設定する方法の一般的な情報については、「 チェックリスト: フェデレーション サーバー プロキシの設定」を参照してください。